查询 AD 用户和安全组权限需要哪些基本权限。我有一个需要 AD 读取权限的第三方应用程序。这是一个特权帐户管理工具。
由于我不想为此使用域管理员,因此我想要为此创建的服务帐户需要哪些基本权限?
答案1
它需要对环境中每台计算机上的整个文件系统具有读取权限(因此,可能是本地管理员 - 以及域管理员来读取域控制器上的整个文件系统);尽管标准用户可能能够读取大多数(如果不是全部)AD 本身的权限。
这甚至没有考虑到您需要读取和解释环境中任何数据库、Web 应用程序和其他服务的权限。
问题是,除了最初配置访问权限时详细、有条不紊的文档流程外,没有真正实用的方法来确定每个主体对环境中的所有内容具有什么访问权限。也就是说,利用每个应用程序、资源和服务独有的多个组,并标注每个组授予的精确访问权限。当然,在尝试收集这些信息之前,所有这些都必须进行规划和实施。
但是,如果您只是在寻找 Windows 文件系统权限、用户权利分配和 AD 访问,则域管理员与所有计算机上的本地管理员相结合(假设您遵循最佳实践,并且域管理员无权访问成员服务器和工作站)。